E-valg Thomas Tjøstheim
-
Upload
bipper-communications -
Category
Documents
-
view
405 -
download
5
Transcript of E-valg Thomas Tjøstheim
E-valg, stemmegivning på internett – er det sikkert?
Thomas TjøstheimSikkerhetsrådgiver Hordaland Fylkeskommune
www.hordaland.no
Agenda
E-valg – Hva er det? – Hvorfor er det vanskelig?
E-valg 2011– Om prosjektet– Løsningen
Trusseldiskusjon
www.hordaland.no
E-valg
Elektronikk – Stemme– Telle stemmer
Internettbasert stemmegivning– Stemmegivning i ukontrollert miljø
Mulige fordeler– Raskere– Bedre tilrettelegging for fysisk utviklingshemmede– Økt tilgjengelighet– Økt valgdeltakelse?
www.hordaland.no
Hvorfor er det vanskelig å designe en valgløsning?
Ingen nøytrale tredje parter– Velgerne kan fuske– Løsningen kan fuske– Tvang og stemmekjøpere
Motstridene krav– Verifiserbarhet vs. anonymitet
Høy profil på angrep
www.hordaland.no
In code we trust
www.hordaland.no
Sikker stemmegivning over internett?Ekspertene er skeptisk
Peter Ryan “I’m not advocating remote voting for
political elections. The political context will be variable in different countries, so it will be up to the politicians to determine what risks are acceptable.”
www.hordaland.no
Sikker stemmegivning over internett?Ekspertene er skeptisk
Kristian Gjøsteen “With realistic attack models (the attacker knows
everything the voter knows) for remote internet voting probably make it impossible to achieve both true voter verifiability and coercion-resistance.”
Arent “Voting in your underwear does not seem a valid
option—at least not at this moment.”
www.hordaland.no
E-VALG 2011- PROSJEKTET
Hva er e-valg 2011 prosjektet?– Anskaffe og innføre en løsning for elektronisk
stemmegivning og valgadministrasjon i 10 utvalgte forsøkskommuner (<200.000 stemmere)
ved kommune- og fylkestingsvalget i 2011
– Startet opp i 2008 (forprosjekt i 2006)
www.hordaland.no
E-valg 2011 løsning
Autentisering: E-id (MinID) Papirstemme overskriver alle elektroniske
stemmer Kan stemme om igjen ubegrenset antall ganger
elektronisk Partnere
– EDB ErgoGroup: administrasjonsmodul– Scytl: E-valg modul
www.hordaland.no
E-valg 2011 i et nøtteskall
Valgkort
internett
MottakReturkode
Server
?
Opptelling
www.hordaland.no
E-valg 2011 Debatt
Lite diskusjon så langt– Komplekst tema– Informasjon fra KRD– Nordmenns tillitt til myndighetene
Media– Fokus på det prinsipielle
FNs menneskerettighetserklæring §1-1 i valgloven Utilbørlig press Stemmekjøp Mindre høytidelig og brudd på tradisjon
– Lite fokus på teknisk løsning
www.hordaland.no
E-valg referansegruppe
Slutt 2009 etablerte referansegruppe– 9-10 stykker i Bergen og Oslo– 5 møter med sikkerhetsansvarlig – Utarbeidet en ”bekymringsliste”
Mål– Analysere teknisk løsning– Uavhengig og konstruktiv kritikk av løsningen
www.hordaland.no
Noen utvalgte ”bekymringer”
Hvordan blir velgerne autentisert? Hva er risikoen for stemmekjøp? Innsidelekkasjer Malware Tjenestenektangrep
www.hordaland.no
Autentisering av velgerne
MinID (ikke eID )
Paradoks: løsningen er proprietær
Dilemma: Hvordan kan velgerne signere stemmen uten smartkort med kryptografiske nøkler?
www.hordaland.no
Stemmekjøp
Måter å bevise hvordan en velger har stemt– Velger viser SMS kvittering sammen med valgkort– Logge stemme– Bevise utforming av kryptert stemmeseddel Tiltak: Stemme om igjen og overskrive e-stemme med p-
stemme
Stemmekjøperens dilemma– Garanti for å ha kjøpt korrekt stemme?– Hvordan sette opp for kjøp og salg av stemmer?– Strafferamme: 3 år for stemmekjøper og 6 måneder for
stemmeselger
www.hordaland.no
Hva kan vi lære fra Estland?
0,09%1,55%58.699Parlamentariske valg
0,09%2,27%104.413Lokale
valg
E-stemme overskrevet
av p-stemme
Multiple
E-stemmer
E-Stemmer
www.hordaland.no
Innsidelekkasje
Informasjonslekkasje– Hvem stemte i p-valget og i e-valget?– ISPer og teleselskap– Forhåndsgenererte kvitteringer for hver velger
Tiltak: Samarbeid med Norsk Tipping og fysisk ødeleggelse av HW
www.hordaland.no
Malware
Trojaner endrer stemmeTiltak: Velger sjekker kvittering
Diskusjon– Hvor mange vil sjekke kvitteringene? – Hva om en velger lyver om en feil kvittering? – Er kvittering per kandidat/parti nok?
(kumuleringer)
www.hordaland.no
Tjenestenekt angrep
Kobling mellom– Velger og sentral
infrastruktur– Kvitteringsserver og
velger
Tiltak: Vanskelig? Fordel: Internettstemmeperiode erspredt over tid…
www.hordaland.no
Forståelse og brukervennlighet
Ulike forklaringsnivå til ulike grupper? Verifiserbarhet
– Forstår og stoler alle på kvitteringene?
Hvor enkelt er det å stemme? Nivå av åpenhet
– Mange offentligjorte feil kan være problematisk?
www.hordaland.no
Oppsummering
Fordeler– Økt tilgjengelighet– Økt valgdeltakelse (?)– Økt nøyaktighet– Kostnadsbesparende (?)– Åpenhet rundt
valgsystemet
Ulemper– Single point of failures– Angrep skalerer bedre– Forstår bestemor?– Private aktørers rolle i
valget
Internett stemmegivning Utfordrende (umulig?) å oppnå både verifiserbarhet og fullstendig beskyttelse mot stemmekjøp
Komplekst og vanskelig tema
www.hordaland.no
Spørsmål
Still dem gjerne nå, etterpå eller ta kontakt på e-post
thomas.tjostheim hos Googles eposttjeneste gmail.com
Takk for oppmerksomheten!
www.hordaland.no
Kryptering av stemme
Stamp
Krypterer medOffentlig valgnøkkel
Signerer medStemmers private nøkkel
www.hordaland.no
Opptelling av stemmer
Legg inn animasjon…– Vaskemaskin for miksing– Fjerner signaturer– Sjekker mot p-valg– Mikser– Dekrypterer stemmer…
www.hordaland.no
Insider threats
Authority knowledge – List correspondence between voters and
receiptsCountermeasure: Physical destruction of
hardware? Cooperation with Norsk Tipping, use similar method as for Flax lottery tickets.
www.hordaland.no
Insider vulnerabilities
Information leakage– Officials can leak information about who voted in the
electronic election and votes that where overwritten by a p-vote.
– ISP and mobile companies can reveal info about who voted in the e-voting phase
Ballot stuffing– Voting officials add votes for people who haven’t
voted
Countermeasure: Voting officials with conflicting interests?
www.hordaland.no
Insider threats
Reconstruction of the decryption keyCountermeasure: Private key split between
different organisations. – Brønnøysund– DSB
+ =
DecryptionKey
Receipt generatorKey
Ballot box Key
www.hordaland.no
E-voting in other countries
www.hordaland.no
Remote e-voting
Five non technical reasons against remote e-voting (Oostveen)1. Secret and free election2. ”Digital divide”3. Cultural effect
Gathering of people and ”civic ritual”4. Organizational problem
Online helpdesk Many roles (e-voting + p-voting)
5. Behavioral changes Loosing feedback from the environment
www.hordaland.no
Malware
Trojaner logger stemmeTiltak: Anti-Trojaner software?
Falsk valgklient Applet eliminerer muligheten for å stemme på
noen parti/kandidater Tiltak: Signert applet(?)